当社の Discourse インスタンスでは、SSO を使用してユーザーがフォーラムにサインインできるようにしており、ユーザーはフォーラム上でメールアドレスを変更できません。これはすべて、当社のメインサイトで行われます。
そのため、アカウントが侵害され、侵害者がフォーラムにアクセスした場合、ユーザーのメールアドレスを完全に閲覧できてしまいます。
設定で有効にされた場合、ユーザーのメールアドレスを星印や隠蔽で表示し、それでも管理者がメールアドレスを確認できるという機能を追加することは可能でしょうか?
例:
@InceptionTime、メールアドレスは管理者と該当ユーザーにのみ表示されます。スクリーンショットでメールアドレスが表示されているのは、それがあなた自身のアカウントだからです。別のユーザーのページを表示してみてください。
はい、その通りです。ログイン中のユーザーのメールを隠蔽したいと考えています。
ユーザーが自分のメールアドレスを見ることを望まないのですか?彼らはすでに知っているはずです…
申し訳ありませんが、あなたの意図がわかりません。
現在の問題は、メインサイトでのアカウントが乗っ取られた場合、ハッカーがフォーラムに移動して乗っ取ったアカウントでログインすると、被害者のメールアドレスを確認できてしまうことです。
しかし、セキュリティ上の理由から、メインサイトではメールアドレスを伏せています。
Discourse フォーラムでも、ログイン中のユーザーのメールアドレスを同様に伏せる機能を追加したいと考えています。
CSS でメールを非表示にすることはできますが、ブラウザの開発者ツールで見られる可能性は残ります。完全に非表示にするには、プラグインを作成する必要があるでしょう。
とはいえ、メインサイト上でユーザーが侵害される可能性があるなら、メールが漏れることよりもっと深刻な問題を抱えていることになります。
その場合はプラグインの構築を検討します。
非常に稀なケースですが、これに関する「バグ」報告が寄せられたため、何か対応できるか確認したく投稿しました。
